郵箱安全第8期 | 郵箱數據防泄漏系統建設 發布時間:2017-12-26 00:00:00 來源:


郵件數據防泄漏主要用于明文協議解析、加密協議解析和MTA部署解決方案,而郵件采用HTTP、SMTP/S郵件協議傳輸。郵件數據防泄漏要達到的目標和任務是,對所有包含敏感信息的郵件進行監聽、識別和管控,避免郵件通過網絡傳輸泄漏的風險。本期內容重點講述郵件數據防泄漏的三種方式,可實現對所有包含敏感信息的郵件在傳輸時,達到監聽、識別、阻斷和警告的效果。

 

郵件數據防泄漏系統的核心技術是互聯網郵件協議的解析和敏感內容識別。通過對互聯網郵件協議的解析,按業務進行還原,根據制定的策略進行敏感數據匹配,一旦觸發策略,根據策略的規則處理並上報策略服務器供後續的事件分類查詢與統計,及時發現違規郵件及時處理,從而實現對所保護範圍內的郵件數據進行防護。

 

郵件防泄漏系統部署方式分爲旁路部署和串聯部署,旁路部署包括明文協議解析方式和加密協議解析方式,串聯部署包括MTA方式,旁路部署不影響客戶的現網業務運行,串聯部署不影響客戶的非郵件業務運行。

 

郵件數據防泄漏系統的核心價值:

1、敏感數據分布、分類和數據追蹤;

2、保護客戶隱私與知識産權、追溯和取證;

3、合規遵從、風險評估。

 

郵件數據防泄漏系統的應用場景是根據客戶的實際需求,對郵件進行監控,掌握數據交換的情況並及時發現敏感數據的流向。可以推薦客戶部署明文郵件DLP,通過對郵件數據流量的監測及時發現數據泄漏情況,支持SMTP/IMAP,支持對收發件人、郵件主題、郵件內容和附件檢查。一旦發現違反策略的信息,會通過記錄或者郵件告警的方式進行處理。記錄信息上傳到管理平台,管理員可在統一管理平台對郵件違規情況進行分析和查看。

 

事中控制:對所有敏感數據的郵件協議解析和敏感內容進行監視,根據策略管控要求進行放行並記錄、郵件告警、阻斷及警告等。

事後追溯:基于內容關鍵字快速檢索的數據追蹤技術,爲快速定責和優化改進提供數據支撐。

 

郵件系統數據防泄漏技術架構

 

1、明文協議解析技術架構由3部分組成,包括:協議解析服務器、內容識別服務器、策略服務器(包含數據庫),圖形化顯示如下:


圖:明文協議解析技術架構圖

 

2、密文協議技術架構由4部分組成,包括:協議解析服務器、密文協議解析服務器、內容識別服務器、策略服務器(包含數據庫),圖形化顯示如下:

圖:密文協議解析技術架構圖

 

3、MTA技術架構由3部分組成,包括:MTA服務器、內容識別服務器、策略服務器(包含數據庫),圖形化顯示如下:

圖:MTA部署方式技術架構圖

 

郵件系統數據防泄漏系統部署方式

圖:旁路明文協議還原部署

旁路部署在所監視網絡的邊界,對通過網絡邊界的數據進行分析和檢測。主要針對上行的明文郵件數據進行還原和檢測。檢測結果如存在違反策略情況則進行記錄,最終由管理員對公司所有安全事件進行審計,從而達到確保公司所發的郵件的安全審計。

旁路模塊不提供阻斷功能,因此對實時性要求比阻斷模塊要低,其支持協議範圍很廣,基本覆蓋常用網絡應用協議,包括:HTTP、SMTP等多數基于TCP的協議上行業務進行還原。郵件DLP負責對所監視的單位網絡出口郵件內容安全進行審計。

它對發往企業外以及企業內部之間所有郵件進行檢測並審計,確保能及時發現攜帶敏感內容的郵件。郵件DLP可透明部署,對客戶現網拓撲和業務沒有影響,專注對企業郵件的安全管理,適應于比較高程度依賴郵件進行信息交互的企業和單位。

圖:MDLP-加密郵件還原部署

與明文郵件協議相比,加密郵件的協議還原需要先對加密協議進行破解,再把明文數據送給協議解析服務器進行業務還原。該部署方式不僅支持基本的網絡應用協議,比如:HTTP、SMTP等,此外,還對加密協議的業務進行還原,比如:SMTPS(端口:465)的加密郵件等。實現加密協議的還原,需要把加密協議的業務數據流強制引入加密協議破解服務器,由破解服務器對加密協議進行解密,把解密後的明文數據送給協議解析服務器進行業務還原,供後續的內容識別與處理。

圖:MDLP-MTA部署

 

MTA部署方式是針對客戶公司內部有自己的郵件服務器情況下的郵件數據防泄漏方案。從網絡效率角度考慮,建議把郵件代理服務器部署在靠近客戶郵件服務器側,通過在郵件服務器設置發郵件的下一跳地址實現發送郵件的監管。相對旁路方式部署模式,MTA部署模式在滿足旁路郵件DLP功能的基礎上,增加對發送郵件的阻斷功能,並給觸發阻斷策略的郵件發送人回複通知郵件。MTA部署模式還能夠根據客戶的應用需要,實現對觸發策略的郵件發起審批功能,根據審批結果對郵件進行阻斷或者發送,同時把審批的結果反饋給發送者。審批流程可在MTA上實現,也可結合客戶既有審批系統實現。